建立IPsecVPN后，只能单向访问？

总公司H3C路由，分公司深信服AC，成功建立ipsec后，分公司ping总公司的内网是通的，总公司ping分公司ping不通，怎么办，如何设置

IPSEC VPN内网权限是单向还是双向的？
IPSEC VPN内网权限无法直接配置方向，跟防火墙规则不同，不能直接定义方向，但是内网权限可以根据源目IP地址定义来回数据包的方向
IPSEC VPN双向访问设置
如果WOC和深信服或第三方厂商建立的是标准IPSEC VPN，配置思路如下，
1、PDLAN配置到标准IPSEC对端内网网段的隧道间路由，保证PDLAN访问标准IPSEC对端内网时数据能进PDLAN和WOC建立的SANGFOR VPN通道
2、在WOC的WEB控制台，【IPSec VPN】-【第三方对接】-【第二阶段】-【入站策略】-【新增】对端内网的源IP地址或子网
3、在WOC的WEB控制台，【IPSec VPN】-【第三方对接】-【第二阶段】-【出站策略】-【新增】子网是PDLAN虚拟IP池网段的出站策略，
注意：这里的前提条件是WOC和对端的标准IPSEC VPN已经建立成功
4、对端设备如果是深信服的设备按照上述1、2点配置即可，此时出入站策略定义的IP和网段需反过来；对端设备如果是第三方设备，按要求配置第二阶段感兴趣流即可
5、标准IPSEC对端内网要保证回给PDLAN虚拟IP池网段的数据能到对端VPN设备

如果WOC和对端是建立的SANGFOR VPN，配置思路如下，
1、PDLAN配置到SANGFOR VPN对端内网网段的隧道间路由，保证PDLAN访问此SANGFOR VPN对端内网时数据能进PDLAN和WOC建立的SANGFOR VPN通道

IPSEC 总部和分支网互相访问

可以通过配置隧道间路由实现分支与分支互访
【VPN信息设置】-【隧道间路由设置】分别在分支1和分支2配置两条隧道间路由
2、对端VPN设备，这里用WOC9.5.1为例，在WOC的WEB控制台，【IPSec VPN】-【隧道间路由设置】勾选【启用路由】，然后【新增】按要求配置，保证设备收到内网的数据能正常转发到和WOC建立的SANGFOR VPN通道
3、SANGFOR VPN对端内网要保证回给PDLAN虚拟IP池网段的数据能到对端VPN设备

可能是分支的本地子网和回包路由没有写好再检查一下

还是路由的问题吧，检查下兴趣流

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

感觉像是路由或者感兴趣流错误  建议再检查下配置

有没有可能是接口功能没有开起来？ 禁ping了 ？

IPSEC VPN内网权限是单向还是双向的？
IPSEC VPN内网权限无法直接配置方向，跟防火墙规则不同，不能直接定义方向，但是内网权限可以根据源目IP地址定义来回数据包的方向
IPSEC VPN双向访问设置
如果WOC和深信服或第三方厂商建立的是标准IPSEC VPN，配置思路如下，
1、PDLAN配置到标准IPSEC对端内网网段的隧道间路由，保证PDLAN访问标准IPSEC对端内网时数据能进PDLAN和WOC建立的SANGFOR VPN通道
2、在WOC的WEB控制台，【IPSec VPN】-【第三方对接】-【第二阶段】-【入站策略】-【新增】对端内网的源IP地址或子网
3、在WOC的WEB控制台，【IPSec VPN】-【第三方对接】-【第二阶段】-【出站策略】-【新增】子网是PDLAN虚拟IP池网段的出站策略，
注意：这里的前提条件是WOC和对端的标准IPSEC VPN已经建立成功
4、对端设备如果是深信服的设备按照上述1、2点配置即可，此时出入站策略定义的IP和网段需反过来；对端设备如果是第三方设备，按要求配置第二阶段感兴趣流即可
5、标准IPSEC对端内网要保证回给PDLAN虚拟IP池网段的数据能到对端VPN设备

如果WOC和对端是建立的SANGFOR VPN，配置思路如下，
1、PDLAN配置到SANGFOR VPN对端内网网段的隧道间路由，保证PDLAN访问此SANGFOR VPN对端内网时数据能进PDLAN和WOC建立的SANGFOR VPN通道
IPSEC 总部和分支网互相访问
可以通过配置隧道间路由实现分支与分支互访
【VPN信息设置】-【隧道间路由设置】分别在分支1和分支2配置两条隧道间路由
2、对端VPN设备，这里用WOC9.5.1为例，在WOC的WEB控制台，【IPSec VPN】-【隧道间路由设置】勾选【启用路由】，然后【新增】按要求配置，保证设备收到内网的数据能正常转发到和WOC建立的SANGFOR VPN通道
3、SANGFOR VPN对端内网要保证回给PDLAN虚拟IP池网段的数据能到对端VPN设备


可能是分支的本地子网和回包路由没有写好再检查一下

IPSEC VPN内网权限是单向还是双向的？IPSEC VPN内网权限无法直接配置方向，跟防火墙规则不同，不能直接定义方向，但是内网权限可以根据源目IP地址定义来回数据包的方向
IPSEC VPN双向访问设置
如果WOC和深信服或第三方厂商建立的是标准IPSEC VPN，配置思路如下，
1、PDLAN配置到标准IPSEC对端内网网段的隧道间路由，保证PDLAN访问标准IPSEC对端内网时数据能进PDLAN和WOC建立的SANGFOR VPN通道
2、在WOC的WEB控制台，【IPSec VPN】-【第三方对接】-【第二阶段】-【入站策略】-【新增】对端内网的源IP地址或子网
3、在WOC的WEB控制台，【IPSec VPN】-【第三方对接】-【第二阶段】-【出站策略】-【新增】子网是PDLAN虚拟IP池网段的出站策略，
注意：这里的前提条件是WOC和对端的标准IPSEC VPN已经建立成功
4、对端设备如果是深信服的设备按照上述1、2点配置即可，此时出入站策略定义的IP和网段需反过来；对端设备如果是第三方设备，按要求配置第二阶段感兴趣流即可
5、标准IPSEC对端内网要保证回给PDLAN虚拟IP池网段的数据能到对端VPN设备
如果WOC和对端是建立的SANGFOR VPN，配置思路如下：
1、PDLAN配置到SANGFOR VPN对端内网网段的隧道间路由，保证PDLAN访问此SANGFOR VPN对端内网时数据能进PDLAN和WOC建立的SANGFOR VPN通道
IPSEC 总部和分支网互相访问
可以通过配置隧道间路由实现分支与分支互访
【VPN信息设置】-【隧道间路由设置】分别在分支1和分支2配置两条隧道间路由
2、对端VPN设备，这里用WOC9.5.1为例，在WOC的WEB控制台，【IPSec VPN】-【隧道间路由设置】勾选【启用路由】，然后【新增】按要求配置，保证设备收到内网的数据能正常转发到和WOC建立的SANGFOR VPN通道
3、SANGFOR VPN对端内网要保证回给PDLAN虚拟IP池网段的数据能到对端VPN设备
可能是分支的本地子网和回包路由没有写好再检查一下